Автор: Преслав Балджиев
Компетентните органи на ниво Европейски съюз подхождат с особено внимание към личните данни на физическите лица. Голямата стъпка към защитата на този тип информация беше направена с изготвянето и влизането в сила на Регламент (ЕС) 2016/679 (или така нареченият “GDPR”), който уеднакви законодателната регулация в тази материя. В желанието си да бъдат максимално актуални, адекватни и изчерпателни, европейските органи доразвиха уредбата като изготвиха Стандартни договорни клаузи, чието начало може да бъде проследено чак от 90-те години на миналия век.
Какво са Стандартните договорни клаузи?
Стандартните договорни клаузи, очевидно от наименованието си, са клаузи, които са изготвени и одобрени от Европейската комисия (ЕК). Те не са задължителни за прилагане, но всяко лице, което се занимава със събирането и обработването на лични данни, може да ги използва в свои договорни отношения.
От една страна, с подобни стандартни клаузи се цели улесняване на преговорния процес, като се намали ангажираността за създаване на договори, касаещи събирането и обработването на лични данни, за всеки отделен случай. От друга пък, се гарантира, че различните субекти на лични данни ще бъдат третирани по еднакъв начин и всяко физическо лице ще се възползва от един и същ обем права и защита.
На няколко места, като изолирани мнения, могат да бъдат срещнати и твърдения, че стандартните договорни клаузи нарушават принципа на „Свобода на договарянето“. Подобно схващане не може да бъде подкрепено, най-вече, заради защитата на обществения интерес. Точно поради тази защита, стандартните договорни клаузи попадат в изключението от посочения по-горе принцип, а именно, че страните могат да договорят всичко, което не е забранено от закона.
Видове Стандартни договорни клаузи
Стандартните договорни клаузи могат да бъдат разделени в две групи, като се вземе предвид седалището на страните по договора.
1. Първият вариант клаузи (с които можете да се запознаете тук) обхваща отношения между Администратор на лични данни и Обработващ лични данни, които се уреждат в рамките на Европейската икономическа общност (ЕИО). Това означава, че са приложими само и единствено, когато няма пренос (трансфер) на данни към трети страни (извън ЕИО). Изготвянето им е съобразено с текстовете на член 28, параграфи 3 и 4 Регламент (ЕС) 2016/679 и член 29, параграфи 3 и 4 Регламент 2018/1725 (условия при обработване на лични данни чрез Обработващ лични данни).
Компетентните органи на държавите-членки имат задължение да приемат подобни стандартизирани клаузи – разликата с тези изготвени и одобрени от ЕК е, че приетите от националните органи разпоредби ще имат действие само и единствено на съответната територията. Друга важна разлика е, че „европейските“ клаузи могат да бъдат оспорвани единствено пред Съда на Европейския съюз (СЕС).
2. Вторият вариант клаузи (с които можете да се запознаете тук) е приложим при пренос (трансфер) на лични данни извън ЕИО. Този тип клаузи имат повече защитна функция – тоест, тяхната цел е да гарантират в максимална степен законните права и интереси на физическите лица, чиито лични данни се трансферира (спрямо европейските стандарти на защита). По своята същност, те не са нещо ново, а напротив – чрез тях се надграждат три предходни набора на стандартни клаузи, които уреждат същата материя (в опит законодателството да отговаря на дигиталната действителност). С изтичането на гратисния период (който беше до 28.12.2022), предходните три набора спряха да действат.
Актуалните клаузи, свързани с преноса на данни, са разделени в пет раздела:
- Общи разпоредби – включва клаузи, които са винаги приложими;
- Модул 1 – пренос от Администратор към друг Администратор;
- Модул 2 – пренос от Администратор към Обработващ лични данни;
- Модул 3 – пренос от Обработващ лични данни към Подизпълнител;
- Модул 4 – пренос от Обработващ лични данни към Администратор;
Модулите 1-4 (всички точки, с изключение на „Общи разпоредби) имат алтернативен характер – тоест, страните трябва да определят в коя от хипотезите на пренос на лични данни попадат и да включат релевантните клаузи.
Права на субектите на лични данни при пренос
Както вече беше споменато, целта на стандартните договорни клаузи е да гарантира и осигури правата и законните интереси на физическите лица, спрямо европейските стандарти (или с други думи казано, тези стандарти, предвидени в GDPR). Наравно с тях, обаче, елемент на разширяване на задълженията на страните, използващи стандартните клаузи (това от своя страна води и до разширяване правата на физическите лица):
- Физическите лица, чиито данни са трансферирани, следва да бъдат уведомени за този пренос;
- Администраторът и/или Обработващият следва да запознае/запознаят безплатно субекта на лични данни с приложимите клаузи (допуска се и изрично препращане);
- В случай, че субектът на лични данни не може да разбере предоставената информация, то той има право да получи допълнителни разяснения от Администратора и/или Обработващия;
- Субектът на лични данни може да подаде оплакване до вносителя на личните данни или до Орган за разрешаване на спорове;
- Субектът на лични данни може да подаде оплакване до компетентен национален орган (спрямо настоящия адрес) или да потърси съдебна защита;
Прилагане на Стандартните договорни клаузи
За да бъдат приложими, Стандартните договорни клаузи следва да бъдат включени в договор. На европейско ниво не е предвидена специфична форма за сключването му – това означава, че са приложими разпоредбите на националното законодателство и правилата на международното частно право.
Клаузите следва да бъдат включени по начина, по който са формулирани – всяко разминаване спрямо официалния превод ще е причина клаузите да изгубят своята „стандартност“.
Допустимо е в договора да бъдат включени и други клаузи, стига те да не противоречат на стандартните клаузи. Добавените клаузи, обаче, нямат характера и същата стойност като стандартните.
Заключение
Видно от цялото изложение, по-голяма приложимост имат стандартните договорни клаузи, които уреждат трансфера на лични данни извън пределите на ЕИО. Благодарение на тях се гарантират права и законни интереси на граждани на Европейския съюз по начина, по който те биха били защитени в рамките на Общността. Подобна ангажираност на Европейската комисия осигурява, преди всичко, улеснение за Администраторите, Обработващи и физически лица, като установява еднакъв режим на регулиране.
Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно стандартните договорни клаузи и личните данни. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. Преслав Балджиев е завършил Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.